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(§) Elektronisches Steuergerat fur eine Brennkraftmaschine 

Ein elektronisches Steuergerat fur eine Brennkraftma- 
schine verfugt unter anderem uber einen Hauptrechner (10) 
mit zugeordnetem ersten Watchdog (1 1), einen Nebenrech- 
ner (12) mit zugeordnetem zweiten Watchdog (13) und uber 
Mittel zur Signalausgabe (14). Das Steuergerat gibt uber 
einen Steuerausgang (16) ein Ausgangssignal an ein gesteu- 
ertes Bautetl (15). Einer der Pegel des Ausgangssignals stellt 
ein Sfcherheitspotential dar. Dieses Sicherheitspotentcal 
bewirkt. daft das Bauteil (15) einen Sicherheits-Betriebszu- 
stand einnimmt. 

Der Aufbau des Steuergerits gewahrieistet, daG die Aus- 
gangssignale fur die Steuerung immernurdann ausgegeben 
warden, wenn die Wahrscheinlichkeit sehr hoch ist, daB die- 
se Werte ordnungsgema& berechnet worden sind. 
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Beschreibung _ ejner Watchdog-SchaJtung fur die Rechner, und 

Die Erfindung betrifft ein elektronisches Steuergerat ^nluIT™ i l 8nala ^ gab , emitt , C ! zum Aus « eb e" von 

nut mindestens einem Ausgang zum Ausgeben vondM s, g"aten mil zwei Pegeln auf jeden Steuerausgang. 

talen Steuersignalen an rnindestens ^" SbaresBau < Z V?"? J Pege ] Sich ^heitspotential al 

teil einer Brennkraftmaschine. z. B. an e KJSSf fOr Sff 2". « dau f ndera Vorhandensein f Or einen 

eme Dieseleinspritzpumpe. atei.werk fur Sicherheits-Betnebszustand der Brennkraftmaschi- 
ne sorgt 



Stand derTechnik v ,-, k ■ 

Von besonderem Voneil ist es, wenn die Watchdog- 

Elektronische Steuergerate fur eine Brennkraftma '° I^w* f^i W ^ do ^ vffrf " ft, nan^cn^IHeir 

sch.ne weisen haufig zwei Rechner au f. die im "olgSen H..^^ atCM ° g " W Ube ™ ache " ^er Funktion Hpc 

als Hauptreehner und als Nebenrechner teSS rjauptrechners und emen zweiten Watchdog zum l?h^ 7 

werdea Der Nebenrechner Cberwacht nl den Ha!w ~ tf".." M ' """"l?" d< " Nebenrerhn^ 

rechner und iibt bei Ausfall desselben ^otfSnkSonen , s aSS^ S T,^ Ans P ruch > * das Signal- 

aus Bei verschiedenen Steuergeraten hat der Nebe„ aUSgabemiUel 50 a «geb,ldet, daB es 

rechner nur diese Funktionen. Bei anderen Steuergera. ^ a • . 

ten unterstutzt der Nebenrechner den HaupSner iljin^!!ti a ," g - S,gn e * VOm Nebenr «*"er an den 

Der Nebenrechner uberwacht den Hauntrechner mit N «°?nrechnerordnungsgemaB arbeitct, 

Hilfe von Dater, die Uber eine DateKnrzw^h™ ^ % grundsat2,ich d « Sicherheitspotemial an 

den beiden Rechnem ausgetauscht werden DaSer 25 £ iSZT 8 ^ bcide Wat chdogs 
hinaus werden beide Rechner durch einen Watchdog der uberwad "en Rechner melden. 

SSSi&S efneTde*^^ SiS^N^^-r 6 " *i «-*-«* daB d " 

glial Wr den Wetchdo. .use*. |irf,„ "952 Sigii.l vom Nebemeclmer nur dann an! den mindea.ens 

J^»e»S|»nSwWd!m&£^^ ™»J~P||I (eftta wird. „.„„ die Will™ 

Gefahrdung von Personen ffihrt, die sic* "n dem Fahr- 3^"° der Nebenr «hner fehlerhaften 
S * der Oberwachten Brennkraf tmas^T ££ tt£%S? tES^TfflFS 

^efautgett - 

das einem Signalausgabemittel an ZC igt,7aB nun die feftiat » £E ^ genann,en ^ d « Sicherhei.spo- 
Ausgangss.gnale vom Nebenrechner auf den Steuerau ^SLZSS^T^^ E J bt 
gang gegeben werden sollen. Problematisch isS der A^Sf^TT *** Steuergerat 
Nebenrechner das Ubernahmesignal auch auferund ei- « «rfffSJ . Vl % ^ S . teuer g er * EemaB Anspruch 3 
ner Fehlfunktion ausgeben kann Dann Kffi h^^w l l " ebenfal »* «ne LSsungf ur den Fall an,daB 
vom Hauptreehner vom Steuerausgang w222K h« d W " tt * do «« ordnungsgemfiflen Betrieb der zuge- 
und auf das Signal vom Nebenrechner ^um/eschahet feh.eT ft ' der Neb «^«hner jedoch luf 

obwohldieserfehlerhaftarbeitet " ner um « escnaltet ' fehlerhaften Betrieb des Hauptrechners entscheidet 
Es besteht grundsatzlich das Problem ein elektroni « FfZ : ?i? Uer8e i a ' g . einaB AM P ruch 3 wir <l d«esem 
aches Steuergerat mit einem Hauptr^hner und eTnem J fi " ' grundsatzl «=h d « Sicherheitspotemial an die 
Nebenrechner anzugeben, das soautg^St™ 1st 7aB flTTf gegeben wie beim Gerat gemaB A "" 
die Oberwachung dahingehend. daB nicht uTerwun SC h t e P , Z S ° nde [ n es ,st nach wie vor ma 8 lich . Ausgangs- 
Ausgangssignale auftrefen. so zuveSg ^stTfe mtg SS'^^^"' ^ 8U/ Steuerausgange^u 
hch. 15 41 Wle m °e le een. was aber imraer nur dann geschieht, wenn die 

55 Ausgangssignale der beiden Rechner fur den Steueraus- 
Darstellung der Erfindung gang Obereinstimmen. 

g w ' ea "sdemVorstehendenersichtIich.istfardieGe- 
Die Erfindung betrifft verschiedene Ausge« fl lt..n<,An " mt f u nkfon des Steuergerats die Funktion der Watch- 
elektronischer Steuergerate 7S\ Knder!TohS | u J?"**? T* * ntsch **™*- Das Steuergerat genSfl 
verlassigkeitAlleerfindungsgemaBe^ ^Steuerge^te Z daB^p^" v ° r,eilhaf ^ Weise so ausgeftaltet, 
horen zur bekannten Gruppe von SteuergSn mit tl tl ^ ner p bewac ""ng«i«nale an die Watch- 
den folgenden Merkmalen: eu ergeraten mit dog-Schaltung geben und sie die Ausgangssignale der 

watchdog-Schaltung nach dem Ausgeben der Oberwa- 

- einem Hauptreehner, cnungssignale Oberpriifen. Das Signalausgabemittel legt 

- einem Nebenrechner. der den Hauptreehner d.> fw *? t t5 ! >ot ' ni !* 1 auf die Steuerausgange. wenn 
uberwacht und bei Ausfall desselben NoSo ! pberprQfung ergibt, daB die Watchdog-Schaltung 
nenausQbt, nesseioen Notfunktio- n.cht ordnungsgemafl arbeiteL Die Watchdog-Schal- 
tung kann aus einem gemeinsamen Watchdog fur beide 
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Rechner, wie beim Stand der Technik, bestehen, oder es 
kann eine Watchdog-Schaltung mit zwei einzelnen 
Watchdogs sein, wie bei den Steuergeraten gemaB den 
Anspruchen 1-3. 

Selbst wenn Fehlfunktionen der Rechner ordnungs- 
gemaB festgestellt werden, besteht immer noch die Ge- 
fahr, dafl fehlerhafte AusgangssignaJe ausgegeben wer- 
den. Urn Fehlfunktionen auf grand dieser Gefahr auszu- 
schlieBen, werden beim Steuergerat gemafl Anspruch 5 
die an den Steuerausgangen anliegenden Signale von 
rnindestens einem der Rechner Oberpruft, und es wird 
eine Sicherheits-Steuerung vorgenommen, wenn festge- 
stellt wird, daB die Werte der uberpruften Signale nicht 
mit den erwarteten Werten Qbereinstimmen. Statt der 
an den Steuerausgangen anliegenden Signale kdnnen 
auch die AusgangssignaJe der Steuerstufen Oberpruft 
werden, die von den Signalen der Steuerausgange ange- 
steuert werden, was Gegenstand von Anspruch 6 ist 

Die Funktionen zum Oberwachen der beiden Rech- 
ner sowie die Funktionen zum Oberprufen der Korrekt- 
heit von Ausgangssignalen konnen einzeln oder ge- 
meinsam angewendet werden. Von besonderem Vorteil 
ist es. aile MaBnahmen, die zum Erhohen der Sicherheit 
beitragen, gemeinsam anzuwenden. 



Zeichnung 

Fig, 1 Blockschaltbild eines elektronischen Steuerge- 
rates, das so ausgebildet ist, daB Ausgangssignale von 
einem Nebenrechner nur dann auf Steuerausgange ge- 
geben werden konnen, wenn ein dem Nebenrechner 
zugeordneter Watchdog ordnungsgemaBes Arbeiten 
des Nebenrechners anzeigt; 

Fig. 2 Blockschaltbild eines elektronischen Steuerge- 
rates, das so ausgebildet ist, daB Ausgangssignale von 
einem Nebenrechner nur dann auf einen Steuerausgang 
gegeben werden kdnnen, wenn ein dem Nebenrechner 
zugeordneter Watchdog ordnungsgemaBes Arbeiten 
des Nebenrechners anzeigt und gleichzeitig ein einem 
Hauptrechner zugeordneter Watchdog den Ausfall des 
Hauptrechners anzeigt; 

Fig. 3 Blockschaltbild eines elektronischen Steuerge- 
rates, das so ausgebildet ist, daB Ausgangssignale von 
einem Nebenrechner nur dann an einen Steuerausgang 
gegeben werden, wenn ein dem Nebenrechner zugeord- 
neter Watchdog ordnungsgemafien Betrieb des Neben- 
rechners anzeigt und enrweder ein einem Hauptrechner 
zugeordneter Watchdog den Ausfall des Hauptrechners 
anzeigt oder wenn der Hauptrechner jeweils dasselbe 
Ausgangssignal abgibt wie der Nebenrechner; und 

Hg. 4 Blockschaltbild eines elektronischen Steuerge- 
rates, das Ausgangssignale uberwacht, und das ein Si- 
cherheitspotential auf einen Steuerausgang gibt, wenn 
festgestellt wird, daB die ermittelten Ausgangssignale 
nicht mit erwarteten Qbereinstimmen. 

Beschreibung von Ausfflhrungsbeispielen 

Die Steuergerftte gemaB alien Fig. 1 -4 weisen einen 
Hauptrechner 10 mit zugehdrigem ersten Watchdog II, 
einen Nebenrechner 12 mit zugehdrigem zweiten 
Watchdog 13 und ein Signalausgabemittel 14 auf, das 
jeweils umerschiedliche Funktionsgruppen enthait Das 
Signalausgabemittel 14 ist durch eine strichpunktierte 
Linie angedeutet. Von jedem der Steuergerate wird 
rnindestens ein Bauteil einer Brennkraftmaschine ange- 
steuert Bei Fig. 1 sind es zwei Bauteile 15.1 und 15.2. 
Jedes Bauteil erhalt ein Steuersignal von rnindestens 



einem Steuerausgang 16. Das Steuergerat gemaB Fig. 1 
weist zwei Steuerausgange 16.1 und 16.2 auf. Die Bau- 
teile kdnnen Treiberstufen von Stellgliedern sein, es 
kdnnen aber auch Stellregler sein. Im ersten Fall stellt 
5 das ausgegebene Steuersignal ein Stellsignal dar. wah- 
rend es im zweiten Fall ein Sollwertsignal darstellt. An 
unterschiedlichen Steuerausgangen kdnnen umer- 
schiedliche Arten von Steuersignalen ausgegeben wer- 
den. Es handelt sich jedoch immer um digitale Signale, 
io also um Signale mit zwei Pegel. Jedes Bauteil 15 ist so 
ausgelegt, daB es dann, wenn ein vorgegebener Pegel 
dauernd auftritt, einen Zustand einstellt, der fur einen 
solchen Betrieb der Brennkraftmaschine sorgt, der ei- 
nen sicheren Betrieb des Fahrzeugs zur Folge hat, in 
15 dem die gesteuerte Brennkraftmaschine angeordnet ist. 
Das Potential des Pegels, bei dem der Sicherheitszu- 
stand eintritt, wird im folgenden Sicherheitspotentiai 
genannt. Es kann dies der niedrige oder der hohe Pegel 
des digitalen Ausgangssignales sein, je nachdem wie das 
20 angesteuerte Bauteil 15 ausgebildet ist 

Das Signalausgabemittel 14.1 beim Steuergerat ge- 
maB Fig. 1 weist ein Oder-Glied 17, ein Und-Glied 18, 
eine Umschalteinrichtung 19 und zwei Sperr-Und-GIie- 
der 20.1 und 20.2 auf. Das Oder-Glied 17 empfSngt die 
25 Signale vom ersten Watchdog 11 und vom zweiten 
Watchdog 13. Sein Ausgangssignal ist ein Eingangssi- 
gnal fur die Sperr-Und-GIieder 20.1 und 20.2. Das zwei- 
te Eingangssignal fur das erste Sperr-Und-Glied 20.1 ist 
ein erstes Ausgangssignal HAS.1 vom Hauptrechner. 
30 Filr das zweite Sperr-Und-Glied 20.2 ist das zweite Ein- 
gangssignal ein zweites Ausgangssignal HAS.2 vom 
Hauptrechner 10. Das Ausgangssignal vom ersten 
Sperr-Und-Glied 20.1 gelangt an den ersten Steueraus- 
gang 16.1. Entsprechend wird das Ausgangssignal vom 
35 zweiten Sperr-Und-Glied 20.2 auf den zweiten Steuer- 
ausgang 16Jgefuhrt 

Die Sperr-Und-GIieder 20.1 und 20.2 erhaiten die 
Ausgangssignale HAS.l bzw. HAS.2 vom Hauptrechner 
10 jedoch nur bei ordnungsgemaBem Betrieb dieses 
40 Rechners. Bei fehlerhaftem Betrieb schaltet die Um- 
schalteinrichtung 19 um, wodurch die Sperr-Und-GIie- 
der 20.1 und 20.2 Ausgangssignale NAS.l bzw. NAS.2 
vom Nebenrechner 12 erhaiten. Das Umschalten erfolgt 
dann, wenn das Und-Glied 18 ein Ausgangssignal ab- 
45 gibt. Diese Und-Glied 18 erhalt an seinem einen Ein- 
gang das Ausgangssignal vom zweiten Watchdog 13 
und an seinem anderen Eingang ein Obernahmesignal 
US. Wenn beide Signale hohen Pegel einnehmen, er- 
folgt das Umschalten. 
so Die Verkniipfung der genannten Funktionsteile fuhrt 
zum folgenden Abiauf. 

Solange rnindestens einer der beiden Watchdogs 1 1 
und 13 ordnungsgemaBen Betrieb eines der beiden 
Rechner meldet, gibt das Oder-Glied 17 ein Signal ho- 
55 hen Pegels aus, das die beiden Sperr-Und-GIieder 20.1 
und 20.2 auf DurchlaB schaltet Diese stellen an ihrem 
Ausgang daher dasjenige Signal zur Verftlgung, das am 
zweiten jeweiligen Eingang ansteht Bei ordnungsgema- 
Bem Betrieb ist dies das jeweilige Ausgangssignal 
60 HAS.1 bzw. HAS.2 vom Hauptrechner 10. Fallt dieser 
jedoch aus, was vom Nebenrechner 12 dadurch festge- 
stellt wird, dafl fiber eine Datenaustauschleitung 21 feh- 
lerhafte Signale oder keine Signale mehr empfangen 
werden, erfolgt das beschriebene Umschalten auf die 
65 Ausgangssignale NAS.1 bzw. NAS.2 vom Nebenrech- 
ner 12 Dadurch, daB das Und-Glied 18 in der genannten 
Beschaltung vorhanden ist, ist sichergestellt. daB der 
Nebenrechner 12 ein Umschalten mit Hilfe des Ober- 
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nahmesignales US nur dann vomehmen kann, wcnn 
gleich2citig der ihm zugeordnete zweite Watchdog 13 
ordnungsgemaBen Betrieb des Nebenrechners 12 mel- 
det Bei bisher bckannten Steuergeraten war cs moglich, 
daB der Nebenrechner aufgrund fehlerhaften Betriebs 
annahm, der Hauptrechner sei nicht in Ordnung, wor- 
aufhin er auf sein eigenes fehlerhaftes Ausgangssignal 
umschaltete. Dieser Mangel ist beim Steuergerat gemaB 
Rg. I weitgehend beboben. 

Noch weitergehend laBt sich der eben genannte Man- 
gel vermeiden, wenn ein Prinzip angewandt wird, wie es 
nun mit Hilfe des Steuergerates gemaB Fig. 2 erlautert 
wird. GemaB diesem Prinzip wird namlich das Ausge- 
ben des Signales vom Nebenrechner nicht nur dann 
verhindert, wenn dessen Watchdog den Ausfall des Ne- 
benrechners anzeigt, sondern das Ausgeben wird auch 
dann verhindert, wenn der Nebenrechner 12 anzeigt, 
der Hauptrechner 10 sei ausgefallen, der dem Haupt- 
rechner zugeordnete erste Watchdog 11 jedoch ord- 
nungsgemaBen Betrieb des Hauptrechners 10 meldet 

Urn das eben genannte Prinzip zu realisieren, ist im 
Signalausgabemittel 14.2 im Steuergerat gemaB Fig. 2 
zusatzlich zu den Funktionsgruppen, die das Signalaus- 
gabemittel 14.1 gemaB Rg, 1 aufweist, noch ein zweites 
Und-Glied 22 vorhanden. Diesem, und nur diesem, wer- 
den die Ausgangssignale vom Oder-Glied 17 und vom 
Und-Glied 18 zugefohrt, letzteres in negierter Form. 
Die Eingangssignale fur das Oder-Glied 17 und das 
Und-Glied 18 sind die ausgehend von Rg. 1 beschriebe- 
nen Signale. 

Der Einfachheit haiber ist in Fig. 2, wie auch in den 
Rg. 3 und 4, nur jeweils ein Steuerausgang 16 mit ange- 
steuertem Bauteil 15 dargestellt. Entsprechend gibt der 
Hauptrechner 10 nur ein einziges Ausgangssignal HAS 
und der Nebenrechner 12 nur ein einziges Ausgangssi- 
gnal NAS aus. Es wQrde jedoch am Prinzip der Steuer- 
gerate nichts andern, wenn jeder der Rechner mehrere 
Ausgangssignale fOr mehrere Steuerausgange ausgeben 
wurde. 

Der eben genannte Steuerausgang 16 erhait das Aus- 
gangssignal vom Sperr-Und-Glied 20. Letzterem wer- 
den zwei Eingangssignale zugefQhrt, und zwar das Aus- 
gangssignal vom zweiten Und-Glied 22 und das Aus- 
gangssignal von der Umschalteinrichtung 19. Diese Um- 
schalteinrichtung 19 wird bei der Variante gemaB Rg. 2 
nicht mehr mit Hilfe eines Obernahmesignales US vom 
Nebenrechner 12 umgeschaltet, sondern mit Hilfe des 
Ausgangssignales vom ersten Watchdog 1 1. Sobald die- 
ses Signal auf niedrigen Pegel fallt, schaltet die Um- 
schalteinrichtung 19 vom Ausgangssignal HAS vom 
Hauptrechner 10 auf das Ausgangssignal NAS vom Ne- 
benrechner 12 um. 

Die eben beschriebene Ansteuerung der Umschalt- 
einrichtung 19 gewahrleistet, daB das Ausgangssignal 
NAS vom Nebenrechner 12 nicht auf den Steueraus- 
gang 16 gelangen kann, solange der erste Watchdog 1 1 
ordnungsgemaBen Betrieb des Hauptrechners 10 mel- 
deL Steilt jedoch der Nebenrechner 12 gleichzeitig feh- 
lerhaften Betrieb des Hauptrechners fest und gibt daher 
das Ubernahmesignal US an das Und-Glied 18 aus, fuhrt 
dies bei der oben genannten Schaltung dazu, daB das 
vom zweiten Und-Glied 22 an das Sperr-Und-Glied 20 
ausgegebene Signal auf niedrigen Pegel fallt, weswegen 
das Sperr-Und-Glied 20 ein Dauersignal mit niedrigem 
Pegel auf den Steuerausgang 16 gibt Dies wird erreicht, 
mdem das Umschaitsigna! US mit dem Watchdogsignal 
13 im UND-Glied 18 verkniipft und invertiert auf den 
zweiten Eingang des zweiten UND-Gliedes gefuhrt 



wird. 

Bei der Schaltung gemaB Rg. 2 spent das Sperr-Und- 
Glied 20 also dann, wenn entweder die Signale von den 
beiden Watchdogs 11 und 13 ausfallen (niedriger Pegel 
5 am einen Eingang des zweiten Und-Gliedes 22) oder 
wenn der Nebenrechner 12 das Obernahmesignal US 
ausgibt und sein Watchdog 13 ordnungsgemaBen Be- 
trieb des Hauptrechners 12 meldet (niedriger Pegel am 
anderen Eingang des zweiten UND-Gliedes 22). Auf das 
io Ausgangssignal NAS vom Nebenrechner 12 wird nur 
dann umgeschaltet, wenn der erste Watchdog 11 den 
Ausfall des Hauptrechners 10 meldet 

Das Steuergerat gemaB Rg. 3 isi eine Variante des 
Gerates gemaB Rg. 2, und zwar dahingehend. daB in 
is demjenigen Fall, in dem der Nebenrechner 12 Ausfall, 
der erste Watchdog 11 jedoch ordnungsgemaBen Be- 
trieb des Hauptrechners 10 meldet, nicht grundsatziich 
dauernd das Sicherheitspotential an den Steuerausgang 
gegeben wird, sondern daB dann noch mit digitalen Si- 
20 gnalen gesteuert wird, wenn die Ausgangssignale HAS 
vom Hauptrechner 10 und NAS vom Nebenrechner 12 
flbereinstimmen. Weiterhin ist das Ausfuhrungsbeispiel 
dahingehend gegenuber dem von Rg. 2 variiert, daB 
keine Umschalteinrichtung 19 mehr vorhanden ist, son- 
25 dern daB durch mehrere (ogische Funktionen gewahr- 
leistet wird, daO entweder das Ausgangssignal HAS 
vom Hauptrechner 10 oder das Ausgangssignal NAS 
vom Nebenrechner 12 auf den Steuerausgang 16 ge- 
langt, oder beide Signale dorthin gelangen, namlich un- 
30 ter der im vorigen Absatz genannten Bedingung. 

Das Signalausgabemittel 143 im Steuergerat gemaB 
Rg. 3 weist ein Haupt-Und-Glied 24.1, ein Neben-Und- 
Glied 24.2, ein Signal-Oder-Glied 25.1 und ein Sperr- 
Oder-Glied 25.2 auf. Letzteres erhait als Eingangssigna- 
35 le die Ausgangssignale von den Oder-Gliedern 25.1 und 
25.2. Dem Signal-Oder-Glied 25.1 werden die Aus- 
gangssignale von den beiden genannten Und-Gliedern 
24.1 und 24.2 als Eingangssignale zugefuhrt. Das Sperr- 
Oder-Glied 25.2 erhalt als Eingangssignale die Aus- 
40 gangssignale von den beiden Watchdogs 11 und 13. Das 
Ausgangssignal vom ersten Watchdog 1 1 gelangt dar- 
Ober hinaus als Eingangssignal an das Haupt-Und-Glied 
24.1. Entsprechend wird dem Neben-Und-Glied 24.2 als 
ein Eingangssignal das Ausgangssignal vom zweiten 
45 Watchdog 13 zugefuhrt Das zweite Eingangssignal fur 
das Haupt-Und-Glied 24.1 ist das Ausgangssignal HAS 
vom Hauptrechner 10, wahrend das zweite Eingangssi- 
gnal fur das Neben-Und-Glied 24.2 das Ausgangssignal 
NAS vom Nebenrechner 12 ist 
50 Die Funktion des so aufgebauten Steuergerates sei 
hier nochmals kurz zusammengefaBt: Melden sowohl 
der erste Watchdog 11 wie auch der Nebenrechner 12 
ordnungsgemaBen Betrieb des Hauptrechners 10, ge- 
langt dessen Ausgangssignal HAS an den Steueraus- 
55 gang 16. Melden sowohl der ersten Watchdog 11 wie 
auch der Nebenrechner 12 Ausfall des Hauptrechners 
10, gelangt das Ausgangssignal NAS vom Nebenrech- 
ner 12 an den Steuerausgang 16. Melden beiden Watch- 
dogs 1 1 und 13 den Ausfall der zugehorigen Rechner 10 
60 bzw. 12, liegt dauernd das Sicherheitspotential am Steu- 
erausgang 16. Steilt schlieBlich der Nebenrechner 12 
fehlerhaften Betrieb des Hauptrechners 10 fest, meldet 
jedoch der Watchdog 11 ordnungsgemaBen Betrieb des 
Hauptrechners 10, gelangt nur dann ein digitales Aus- 
65 gangssignal an den Steuerausgang 16, wenn die Aus- 
gangssignale HAS und NAS der beiden Rechner 10 und 
12 Obereinstimmen. Andernfalls liegt das Sicherheitspo- 
tential an. 
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Aus der vorstehenden Beschreibung ist ersichtlich. 
daB es fur die erwunschte Betriebssicherheit darauf an- 
kommt, daB die Watchdogs 1 1 und 13 ordnungsgem&B 
arbeiten. Um deren einwandfreie Funktion zu uberprti- 
fen, ist das Steuergerat in der Variante gemaB Fig. 4 so 5 
ausgestaltet, daB das Ausgangssignal vom ersten 
Watchdog 11 in den Hauptrechner 10 und das Aus- 
gangssignal vom zweiten Watchdog 13 in den Neben- 
rechner 12 ruckgefuhrt ist In einem Prufprogramm laBt 
der Hauptrechner 10 ein Triggersignal fur den ersten 10 
Watchdog 11 ausfalten und uberprGft, ob dann dessen 
Ausgangssignal auf niedrigen Pegel fallL Ist dies nicht 
der Fall zeigt dies fehlerhaften Betrieb des ersten 
Watchdogs 11 an, woraufhin der Hauptrechner 10 ein 
Notlaufsignal NLS.H an das Signalausgabemittel 14 is 
ausgibt. Der Aufbau dieses Signalausgabemittels 14 ist 
in Fig. 4 nicht dargestellt Es arbeitet vorzugsweise nach 
einem der anhand der Fig. 1 —3 eriauterten Prinzipien. 
Auf das Notlaufsignal NLS.H hin, gibt das Signalausga- 
bemittel 14 entweder das Sicherheitspotential an den 20 
Steuerausgang 16 oder es gibt ein solches digitales Si- 
gnal aus, das zu einem stark eingeschrankten Fahr be- 
trieb fuhrt Dadurch wird der FahrzeugfOhrer veranlaflt 
eine Werkstatt aufzusuchen, um das Steuergerat repa- 
rieren zu lassen. 25 

Entsprechend wie der Hauptrechner 10 den ersten 
Watchdog 11 uberpruft und bei Ausfall desselben ein 
Notlaufsignal N LS.H ausgibt, uberprQft der Nebenrech- 
ner 12 den zweiten Watchdog 13 und gibt im Fehlerfall 
ein Notlaufsignal NLS.N aus. 30 

Die eben genannte Oberprflfung kann auch dann 
stattfinden, wenn keine zwei gesonderten Watchdogs 
vorhanden sind, sondern beide Rechner einen gemeinsa- 
men Watchdog triggern. Der Hauptrechner 10 meldet 
dann dem Nebenrechner 12 uber die Datenaustauschlei- 35 
tung 21, daB die Triggersignale ausgesetzt werden sol- 
len. Dann Qberpriift einer der Rechner, ob das Aus- 
gangssignal vom Watchdog abf&llt Ist dies der Fail, wer- 
den NotlaufmaBnahmen ergriffen. 

Aus der vorstehenden Beschreibung ist ersichtlich, 40 
daB die verschiedenen Ausfuhrungsformen der Signal- 
ausgabemittel alle dazu dienen, sicheren Betrieb einzu- 
stellen, wenn einer der Rechner ausfallt Diesem Bestre- 
ben kann jedoch dann der Erfolg versagt sein, wenn das 
Signalausgabemittel selbst fehlerhaft arbeitet, oder 45 
wenn das angesteuerte Bauteil 15 das empfangene Si- 
gnal falsch verarbeitet Um auch in bezug auf derartige 
Fehler die Betriebssicherheit zu erhdhen, ist das Steuer- 
gerat gemaB Fig. 4 so ausgebitdet, daB das Ausgangssi- 
gnal vom Steuerausgang 16 sowohl auf den Hauptrech- 50 
ner 10 wie auf den Nebenrechner 12 ruckgefuhrt ist 
Jeder der Rechner kann dann uberprufen, ob das am 
Steuerausgang 16 auftretende Signal mit dem erwarte- 
ten Signal UbereinstimmtEntsprechend kann das Aus- 
gangssignal vom Bauteil 15 auf die beiden Rechner 55 
ruckgefuhrt und mit einem erwarteten Signal verglichen 
werden. Wenn sich bei einem der Vergleiche ein Fehler 
ergibt, wird ein Sperrsignal SPS.H oder ein Sperrsignal 
SPS.N vom Hauptrechner 10 bzw. vom Nebenrechner 
12 ausgegeben. Diese Signale gelangen auf einen dem 60 
Bauteil 15 nachgeschalteten Sicherheitsschalter 26, der 
Massepotential oder ein anderes fiir den jeweiligen An- 
wendungsfall geeignetes SicherheitspotentiaJ auf die 
Ausgangsleitung legt Alternativ zum nachgeschalteten 
Sicherheitsschalter 26 kann der sichere Zustand auch 65 
durch einen in Fig. 4 nicht dargestellten, parallel zum 
Ausgang 16 mit Bauteil 15 arbeitenden zweiten Eingriff 
uber einen weiteren Ausgang erfolgen, wie z. B. in Fig. 1 
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dargestellt 

Die anhand von Fig. 4 eriauterten SicherungsmaB- 
nahmen werden vorteilhafterweise gemcinsam einge- 
setzt, konnen jedoch auch einzeln verwendet werden. 
Von ganz besonderem Vorteil ist es, die anhand von 
Fig. 4 eriauterten MaBnahmen mit sokhen zusammen 
einzusetzen, wie sie anhand von Fig. 2 oder von Fig. 3 
beschrieben wurden. 

Patentanspruche 

1. Elektronisches Steuergerat fur eine Brennkraft- 
maschine, mit 

• — einem Hauptrechner (10), 

- einem Nebenrechner (12), der den Haupt- 
rechner uberwacht und bei Ausfall desselben 
Notfunktionen ausubt, 

- einer Watchdog-Schaltung (11, 13) fur die 
Rechner, und 

- einem Signalausgabemittel (14; 14.1; 14.2; 
14 3) zum Ausgeben von Signalen mit zwei Pe- 
geln auf mindestens einen Steuerausgang (16; 
16.1; 16^), wobei einer der Pegel ein Sicher- 
heitspotentiaJ aufweist das bei dauerndem 
Vorhandensein fiir einen Sicherheits-Betriebs- 
zustand der Brennkraftmaschine sorgt, 

dadurch gekennzeich.net, daB 

- ein erster Watchdog (11) zum Oberwachen 
der Funktionen des Hauptrechners (10) vor- 
handen ist, 

- ein zweiter Watchdog (13) zum Oberwa- 
chen der Funktion des Nebenrechners (12) 
vorhanden ist, und 

- das Signalausgabemittel (14.1) so ausgebil- 
det ist, daB es 

- die Ausgangssignale vom Nebenrechner an 
den jeweils zugeh&rigen Steuerausgang (16.1, 
16.2) gibt, wenn mindestens die Bedingungen 
erfullt sind, daB der Nebenrechner ein Ober- 
nahmesignal ausgibt und gleichzeitig der zwei- 
te Watchdog meldet, daB der Nebenrechner 
ordnungsgemaB arbeitet, 

- aber grundsatzlich das Sicherheitspotential 
an jeden Steuerausgang gibt, wenn beide 
Watchdogs den Ausfall der uberwachten 
Rechner melden. 

2. Elektronisches Steuergerat nach Anspruch 1, da- 
durch gekennzeichnet, daB 

- das Signalausgabemittel (14.2) so weiterge- 
bildet ist, daB es 

- die Ausgangssignale vom Nebenrech- 
ner (12) nur dann an den jeweils zugehdri- 
gen Steuerausgang (16) gibt, wenn die Be- 
dingung erfUllt ist, daB der erste Watch- 
dog (11) den Ausfall des Hauptrechners 
(10) meldet, und 

- das Sicherheitspotential auch dann an 
jeden Steuerausgang gibt wenn beide 
Watchdogs (1 1, 13) ordnungsgem&Ben Be- 
trieb der Rechner melden, aber der Ne- 
benrechner fehlerhaften Betrieb des 
Hauptrechners meldet 

3. Elektronisches Steuergerat gemaB dem Oberbe- 
griff von Anspruch 1, dadurch gekennzeichnet, daB 

- ein erster Watchdog (1 1) zum Oberwachen 
der Funktion des Hauptrechners (10) vorhan- 
den ist 

- ein zweiter Watchdog (13) zum Oberwa- 
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chcn der Funktion des Nebenrechners (12) 
vorhanden ist, und 

- das Signalausgabemittel (14.3) so ausgebii- 
detist,dafles 

- die Ausgangssignale vom Nebenrech- 5 
ner dann an den jeweils zugehdrigen 
Steuerausgang (16) gibt, wenn der zweite 
Watchdog ordnungsgemaflen Betrieb des 
Nebenrechners meldet und dabei der er- 
ste Watchdog den Ausfa)] des Hauptrech- 10 
ners meldet, aber audi dann, wenn beide 
Watchdogs ordnungsgemiBen Betrieb 
der Rechner melden, der Nebenrechner 
jedoch fehlerhaften Betrieb des Haupt- 
rechners meldet, aber die Ausgangssigna- 15 
Je der beiden Rechner fOr den Steueraus- 
gang flbereinstimmen, 
- aber grundsatzlich das Sicherheitspo- 
tential an jeden Steuerausgang gibt, wenn 
beide Watchdogs den Ausfall der tiber- 20 
wachten Rechner melden. 
4. Elektronisches Steuergerat nach einem der vor- 
stehenden AnsprOche, aber auch nach dem Ober- 
begriff von Anspruch 1, dadurch gekennzeichnet, 
dafl 25 

- die Rechner (10, 12) Oberwachungssignale 
an die Watchdogschaltung (11, 13) geben und 
die Ausgangssignale der Watchdog-Schaltung 
nach dem Ausgeben der Oberwachungssigna- 
le Oberprufen. und 30 

- der Hauptrechner (10) oder der Nebenrech- 
ner (12) dann das Sicherheitspotential ausge- 
ben, wenn die Oberprufung ergibt, daB die 
zum jeweiligen Rechner gehdrende Watch- 
dog-Schaltung nicht ordnungsgemaB arbeiteL 35 

5. Elektronisches Steuergerat nach einem der vor- 
stehenden Anspriiche oder nach dem Oberbegriff 
von Anspruch 1, dadurch gekennzeichnet, daB 

- die an den Steuerausgangen (16) anliegen- 
den Signale von mindestens einem der Rech- 40 
ner (1 0, 1 2) Gberpruf t werden, und 

- eine Sicherheits-Steuerung vorgenommen 
wird, wenn festgestellt wird, dafl die Werte der 
uberprQften Signale nicht mit den erwarteten 
Werten ilbereinstimmen. 45 

6. Elektronisches Steuergerat nach einem der vor- 
stehenden Anspriiche oder nach dem Oberbegriff 
von Anspruch 1, dadurch gekennzeichnet, daB 

- die Ausgangssignale angesteuerter Bauteile 

(15) von mindestens einem der Rechner (10, 12) 50 
iiberpruft werden. welche Bauteile von den Si- 
gnalen am jeweils zugehorigen Steuerausgang 

( 1 6) anges teuert werden, und 

- eine Sicherheits-Steuerung vorgenommen 
wird, wenn festgestellt wird, daB die Wertc der 55 
flberpruften Signale nicht mit den erwarteten 
Werten ubereinstimmen. 
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Two-watchdog electronic control equipment for IC engine 
provides self-checking of both computers and switches out 
faulty computer supplying two driver outputs 
DE3926377-A 
07.02.1991 

Main (10) and standby (12) computers have their own 
watchdogs (11,13) and provide outputs to a control signal 
distributor (14) serving two drivers (15.1, 15.2) or position 
controllers from a change-over switch (19) and two blocking 
AND/gates (20.1, 20.2). One level of output represents a 
security potential setting the driver (15) into a security 
operational state. If both m computers (10,12) are found 
defective by their watchdogs (11,13) this potential appears at 
both outputs.; For e.g. diesel fuel injection pumps. Main and 
standby computer combination guarantees delivery of control 
signals with very high probability of their proper computation. 
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